企業需要了(le)解不同的(de)物(wù)聯網安全威脅,并實施全面的(de)網絡安全戰略來(lái)保護自己。
物(wù)聯網的(de)引入使農業、公用(yòng)事業、制造業和(hé)零售業等多(duō)個(gè)行業取得(de)了(le)長(cháng)足的(de)發展。物(wù)聯網解決方案有助于提高(gāo)工廠和(hé)工作場(chǎng)所的(de)生産力和(hé)效率;此外,物(wù)聯網驅動的(de)醫療設備已經開發出一種連網且主動的(de)醫療保健方法;智慧城(chéng)市還(hái)利用(yòng)物(wù)聯網來(lái)建立互聯交通(tōng)信号燈和(hé)停車場(chǎng),以減少交通(tōng)流量的(de)影(yǐng)響。然而,物(wù)聯網安全威脅的(de)影(yǐng)響可(kě)能是物(wù)聯網實施中的(de)一個(gè)主要問題。物(wù)聯網安全威脅,如DDoS、勒索軟件和(hé)社交工程,可(kě)以用(yòng)來(lái)竊取個(gè)人(rén)和(hé)組織的(de)關鍵數據。攻擊者可(kě)以利用(yòng)物(wù)聯網基礎設施中的(de)安全漏洞來(lái)執行複雜(zá)的(de)網絡攻擊。這(zhè)樣的(de)物(wù)聯網安全威脅可(kě)能對(duì)消費者更爲熱(rè)衷,因爲消費者不知道它們的(de)存在,并且也(yě)不擁有應對(duì)這(zhè)些威脅的(de)資源。因此,企業領導人(rén)必須識别并解決這(zhè)些安全威脅,以便向消費者提供高(gāo)質量的(de)産品和(hé)服務。
物(wù)聯網安全威脅
組織需要了(le)解以下(xià)物(wù)聯網安全威脅:
1、僵屍網絡
僵屍網絡是一種将各種系統結合在一起的(de)網絡,可(kě)以遠(yuǎn)程控制受害者的(de)系統并分(fēn)發惡意軟件。網絡犯罪分(fēn)子利用(yòng)命令和(hé)控制服務器控制僵屍網絡,以竊取機密數據,獲取網上銀行數據,并執行像DDOS和(hé)網絡釣魚這(zhè)樣的(de)網絡攻擊。網絡犯罪分(fēn)子可(kě)以利用(yòng)僵屍網絡來(lái)攻擊與筆記本電腦(nǎo)、台式機和(hé)智能手機等其他(tā)設備相連的(de)物(wù)聯網設備。Mirai僵屍網絡已經展示了(le)物(wù)聯網安全威脅的(de)危險性。如今,Mirai僵屍網絡已經感染了(le)大(dà)約250萬台設備,包括路由器、打印機和(hé)智能攝像頭。攻擊者利用(yòng)僵屍網絡對(duì)多(duō)個(gè)物(wù)聯網設備發起分(fēn)布式拒絕服務攻擊。在目睹了(le)Mirai的(de)影(yǐng)響後,一些網絡犯罪分(fēn)子開發了(le)多(duō)個(gè)先進的(de)物(wù)聯網僵屍網絡,這(zhè)些僵屍網絡可(kě)以對(duì)易受攻擊的(de)物(wù)聯網設備發起複雜(zá)的(de)網絡攻擊。
2、拒絕服務
拒絕服務(DDoS)攻擊通(tōng)過發送多(duō)個(gè)請求故意試圖在目标系統中造成容量過載。與網絡釣魚和(hé)暴力攻擊不同,實施拒絕服務的(de)攻擊者并不打算(suàn)竊取關鍵數據。但是,DDOS可(kě)以用(yòng)來(lái)減慢(màn)或禁用(yòng)服務,以損害企業聲譽,例如,遭到拒絕服務攻擊的(de)航空公司将無法處理(lǐ)機票(piào)預訂、檢查航班狀态和(hé)取消機票(piào)的(de)請求。在這(zhè)種情況下(xià),客戶可(kě)能會轉而選擇其他(tā)航空公司的(de)服務。因此,拒絕服務攻擊可(kě)能會破壞企業聲譽并影(yǐng)響其收入。
3、中間人(rén)(MITM)
在中間人(rén)(MITM)攻擊中,黑(hēi)客破壞了(le)兩個(gè)單獨系統之間的(de)通(tōng)信通(tōng)道,并試圖攔截其中的(de)信息。攻擊者控制其通(tōng)信并向參與系統發送非法信息。這(zhè)種攻擊可(kě)以用(yòng)來(lái)黑(hēi)進物(wù)聯網設備,如智能冰箱和(hé)自動駕駛汽車。中間人(rén)攻擊可(kě)用(yòng)于攻擊多(duō)個(gè)物(wù)聯網設備,因爲它們實時(shí)共享數據。利用(yòng)MITM,攻擊者可(kě)以攔截多(duō)個(gè)物(wù)聯網設備之間的(de)通(tōng)信,并導緻嚴重故障,例如,像燈泡這(zhè)樣的(de)智能家居配件可(kě)以被攻擊者利用(yòng)MiTM來(lái)改變其顔色或打開或關閉。這(zhè)種攻擊會給工業設備和(hé)醫療設備等物(wù)聯網設備帶來(lái)災難性後果。
4、身份和(hé)數據盜竊
多(duō)起數據洩露事件在2018年成爲頭條新聞,緻使數百萬人(rén)的(de)數據被盜。機密信息,如個(gè)人(rén)信息、信用(yòng)卡和(hé)借記卡憑證以及電子郵件地址在這(zhè)些數據洩露中被盜。(來(lái)源:物(wù)聯之家網)黑(hēi)客現在可(kě)以攻擊物(wù)聯網設備,如智能手表、智能電表和(hé)智能家居設備,以獲取有關多(duō)個(gè)用(yòng)戶和(hé)組織的(de)額外數據。通(tōng)過收集這(zhè)些數據,攻擊者可(kě)以執行更複雜(zá)和(hé)更詳細的(de)身份盜竊。攻擊者還(hái)可(kě)以利用(yòng)連接到其他(tā)設備或企業系統的(de)物(wù)聯網設備中的(de)漏洞,例如,黑(hēi)客可(kě)以攻擊組織中易受攻擊的(de)物(wù)聯網傳感器,并訪問其業務網絡。通(tōng)過這(zhè)種方式,攻擊者可(kě)以滲透多(duō)個(gè)企業系統并獲取敏感的(de)業務數據。
5、社交工程
黑(hēi)客利用(yòng)社交工程操縱人(rén)們交出他(tā)們的(de)敏感信息,如密碼和(hé)銀行信息。或者,網絡犯罪分(fēn)子可(kě)以使用(yòng)社交工程來(lái)訪問系統,以便秘密安裝惡意軟件。通(tōng)常,社交工程攻擊是使用(yòng)網絡釣魚電子郵件執行的(de),攻擊者必須開發令人(rén)信服的(de)電子郵件來(lái)操縱他(tā)人(rén)。然而,在物(wù)聯網設備的(de)情況下(xià),社交工程攻擊可(kě)能更容易進行。物(wù)聯網設備,尤其是可(kě)穿戴設備,收集大(dà)量個(gè)人(rén)身份信息(PII),然後爲用(yòng)戶開發個(gè)性化(huà)體驗。這(zhè)種設備還(hái)利用(yòng)用(yòng)戶的(de)個(gè)人(rén)信息來(lái)提供用(yòng)戶友好的(de)服務,例如,通(tōng)過語音(yīn)控制在線訂購(gòu)産品。然而,攻擊者可(kě)以通(tōng)過訪問PII來(lái)獲取機密信息,如銀行詳細信息、購(gòu)買曆史記錄和(hé)家庭地址。這(zhè)些信息可(kě)以讓網絡犯罪分(fēn)子利用(yòng)易受攻擊的(de)物(wù)聯網網絡,針對(duì)用(yòng)戶及其家人(rén)和(hé)朋友實施高(gāo)級社交工程攻擊。通(tōng)過這(zhè)種方式,物(wù)聯網安全威脅(如社交工程)可(kě)以被用(yòng)來(lái)非法訪問用(yòng)戶數據。
6、高(gāo)級持續性威脅
高(gāo)級持續性威脅(APT)是各種組織的(de)主要安全問題。高(gāo)級持續性威脅是一種有針對(duì)性的(de)網絡攻擊,入侵者可(kě)以非法訪問網絡并長(cháng)時(shí)間未被發現。攻擊者旨在監控網絡活動,并使用(yòng)高(gāo)級持續性威脅竊取關鍵數據。這(zhè)種網絡攻擊很難預防、檢測或緩解。随著(zhe)物(wù)聯網的(de)出現,大(dà)量關鍵數據可(kě)以輕松地在多(duō)個(gè)設備之間傳輸,而網絡犯罪分(fēn)子可(kě)以将這(zhè)些物(wù)聯網設備作爲目标,以獲得(de)對(duì)個(gè)人(rén)或企業網絡的(de)訪問。通(tōng)過這(zhè)種方法,網絡罪犯可(kě)以竊取機密信息。
7、勒索軟件
勒索軟件攻擊已經成爲最臭名昭著的(de)網絡威脅之一。在這(zhè)種攻擊中,黑(hēi)客使用(yòng)惡意軟件加密企業運營所需要的(de)數據,而且攻擊者隻有在收到贖金後才會解鎖關鍵數據。勒索軟件可(kě)能是最複雜(zá)的(de)物(wù)聯網安全威脅之一。研究人(rén)員(yuán)已經證明(míng)了(le)勒索軟件對(duì)智能恒溫器的(de)影(yǐng)響。通(tōng)過這(zhè)種方法,研究人(rén)員(yuán)已經表明(míng)黑(hēi)客可(kě)以調高(gāo)溫度,并拒絕回到正常溫度,直到他(tā)們收到贖金。同樣,勒索軟件也(yě)可(kě)以用(yòng)來(lái)攻擊工業物(wù)聯網和(hé)智能家居設備,例如,黑(hēi)客可(kě)以攻擊一個(gè)智能家居,并向其所有者發送支付贖金的(de)通(tōng)知。
8、遠(yuǎn)程錄制
維基解密發布的(de)文件顯示,情報機構知道物(wù)聯網設備、智能手機和(hé)筆記本電腦(nǎo)中“零日攻擊”的(de)存在。這(zhè)些文件暗示安全機構正在計劃秘密記錄公衆談話(huà)。(來(lái)源:物(wù)聯之家網)網絡罪犯也(yě)可(kě)以利用(yòng)這(zhè)些零日攻擊記錄物(wù)聯網用(yòng)戶的(de)對(duì)話(huà),例如,黑(hēi)客可(kě)以攻擊組織中的(de)智能攝像頭,并記錄日常商業活動的(de)視頻(pín)片段。通(tōng)過這(zhè)種方法,網絡犯罪分(fēn)子可(kě)以秘密獲取商業機密信息。此類物(wù)聯網安全威脅也(yě)将導緻嚴重的(de)隐私侵犯。
爲了(le)減輕其影(yǐng)響,企業領導人(rén)需要了(le)解物(wù)聯網安全威脅的(de)最新情況,并在其組織使用(yòng)物(wù)聯網基礎設施之前創建一個(gè)全面的(de)網絡安全戰略。爲此,他(tā)們可(kě)以雇傭專業的(de)網絡安全專家團隊來(lái)處理(lǐ)所有的(de)安全問題,或者,如果企業領導人(rén)希望獨立部署網絡安全技術,他(tā)們可(kě)以從确保所有機密數據都經過加密開始,并定期對(duì)系統進行安全審計。此外,企業還(hái)可(kě)以部署大(dà)數據、區(qū)塊鏈和(hé)人(rén)工智能等現代技術來(lái)加強網絡安全工作。
來(lái)源:物(wù)聯網之家